摘要:2026年7月3日,链上隐私协议Hinkal遭遇严重黑客攻击,损失约83万美元USDC。攻击者利用无证明存款漏洞快速掏空协议资产,并通过Tornado Cash与跨链桥完成资金匿名化转移,暴露去中心化隐私基础设施的安全短板。

币圈界报道:
Hinkal协议遭入侵:83万美元资产被清空,洗钱路径浮出水面
2026年7月3日,专注于链上隐私保护的DeFi协议Hinkal遭遇重大网络安全事件,其智能合约被攻破,导致约83万美元的USDC资产被非法转移。攻击发生后数小时内,黑客借助混币服务与跨链桥迅速完成资金流转,使本已脆弱的隐私技术生态面临更大信任危机。
漏洞溯源:外部账户触发“无证明存款”实现资产提取
区块链安全机构CertiK最早披露此次攻击细节。调查确认,攻击者使用一个特定外部账户(地址为0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20),向Hinkal的智能合约提交了所谓的“无证明存款”操作,并随后连续发起多轮“Transact”调用,从而绕过验证机制完成资金提取。
CertiK在公开平台指出,该系列操作成功盗取超过80万美元资产。而PeckShield进一步分析显示,实际损失金额约为82万美元,接近协议全部锁定价值。
资金去向:经由制裁混币器与跨链通道实现深度匿名
据CertiK追踪,黑客将窃取的USDC兑换为以太坊(ETH)后,分批转入被美国政府列入制裁名单的Tornado Cash混币器。其中410枚ETH(估值约70万美元)进入该系统,其余44.67枚则通过Thorchain跨链桥反向迁移至比特币网络,最终存入以bc1qr2sf开头的比特币地址。
这种结合受控混币器与跨链转换的技术路径,已在近期多起加密资产盗窃案中被重复使用。一篇发表于ACM Web Conference 2026的研究表明,尽管监管压力加剧,被禁混币器仍持续为非法资金提供匿名支持。CertiK报告亦强调,即便在制裁背景下,此类工具的使用模式并未显著减少,反而呈现出隐蔽性增强的趋势。
协议定位:机构级链上隐私层,聚焦交易信息隐藏
Hinkal旨在为机构用户提供高阶链上隐私服务,允许用户创建不可追踪的虚拟地址,在不暴露余额或交易对手的前提下完成转账、兑换与支付操作。其支持以太坊、Arbitrum、Base、Polygon及OP Mainnet等五大主流链。
根据公开融资记录,该协议曾通过种子轮和战略融资获得来自Draper Associates、Quantstamp与NGC Ventures等知名投资方的550万美元支持。就在攻击前一日,其宣布与钱包服务商Turnkey达成合作,计划为其用户开放隐私功能模块。
损失比例惊人:几乎全数资产被清空,行业信心受创
虽然本次被盗金额(约82万美元)在大型DeFi攻击中属中低水平,但考虑到攻击时协议总锁仓价值(TVL)仅为82.9万美元,这意味着几乎所有用户资金均被席卷一空。
此次事件凸显了面向隐私保护的DeFi协议在智能合约安全性方面的深层缺陷。尤其当这类协议承诺“绝对匿名”时,一旦存在漏洞,将对用户信任造成毁灭性打击。
数据显示,截至攻击发生前,Hinkal在隐私类协议中的TVL排名靠后,远低于Tornado Cash(4.4亿美元)、Railgun(7750万美元)及Privacy Pools(780万美元)等主要竞品。
截至目前,Hinkal尚未在其官方社交媒体或官网发布任何正式声明回应此次事件。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
